Definition DNSSEC

Was ist DNSSEC?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Die Domain Name System Security Extensions (DNSSEC) sorgen für Authentizität und Integrität der im Domain Name System übertragenen Informationen.
Die Domain Name System Security Extensions (DNSSEC) sorgen für Authentizität und Integrität der im Domain Name System übertragenen Informationen. (Bild: gemeinfrei / Pixabay)

DNSSEC soll die Authentizität und Integrität der im Domain Name System übertragenen Daten sicherstellen, indem Resource Records mit digitalen Zertifikaten abgesichert werden. Das in mehreren RFCs standardisierte Verfahren basiert auf privaten und öffentlichen Schlüsseln zum Signieren und Prüfen der DNS-Informationen. Ziel von DNSSEC ist es, Manipulationen der Namensauflösung auszuschließen und die Schwachstelle der ungeschützten DNS-Übertragung zu beheben.

Die Abkürzung DNSSEC steht für Domain Name System Security Extensions. Es handelt sich um einen in mehreren RFCs (Requests for Comments) spezifizierten Internetstandard zur Sicherstellung der Integrität und Authentizität der im Domain Name System übertragenen Informationen. Die maßgeblichen RFCs sind RFC 4033, RFC 4034, RFC 4035 und RFC 5155. Die Standards erweitern das DNS-Protokoll um sicherheitsbezogene Verfahren und ermöglichen es, DNS-Informationen digital zu signieren. Zum Einsatz kommen öffentliche und private Schlüssel und Mechanismen der Public Key Infrastructure (PKI).

Durch DNSSEC ist sichergestellt, dass die DNS-Daten weder manipuliert wurden noch von einer anderen Quelle stammen. Private Schlüssel werden verwendet, um die Resource Records digital zu signieren. Mit dem öffentlichen Schlüssel lässt sich die Signatur von den Empfängern der Daten prüfen. Damit die Sicherheitsmechanismen der Domain Name System Security Extensions funktionieren, muss DNSSEC auf Seiten des Anbieters der DNS-Informationen und beim anfragenden Clientsystem unterstützt werden. Die im Jahr 1999 im RFC 2535 veröffentlichte erste Version von DNSSEC war aufgrund einiger Mängel nicht großflächig einsetzbar. Erst die im Jahr 2005 veröffentlichten RFCs beseitigten diese Mängel. Auf Root-Ebene des Internets startete DNSSEC im Jahr 2010. Mittlerweile sind circa 90 Prozent der Top-Level-Domains signiert.

DNS in Windows-Netzwerken absichern

Video-Tipp: DNS-Sicherheit

DNS in Windows-Netzwerken absichern

27.08.19 - DNS ist in Windows-Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber es sollten auch Sicherheitsaspekte eine wichtige Rolle spielen. Die Namensauflösung ist ein zentraler Part in Netzwerken, der auch entsprechend gesichert werden muss. Wir zeigen in diesem Video-Tipp worauf man achten muss. lesen

Motivation für Domain Name System Security Extensions

Das Domain Name System ist eine wichtige Komponente des Internets. Es sorgt dafür, dass die zur Übertragung der Daten zwingend benötigten und zu einem bestimmten Domainnamen zugehörigen IP-Adressen auflösbar sind. Das ursprüngliche DNS-Protokoll liefert die DNS-Informationen als ungeschützten und unverschlüsselten Text aus und besitzt selbst keine Sicherheitsmechanismen. Manipulationen der Nachrichten sind daher nicht auszuschließen. Der Empfänger einer DNS-Antwort kann nicht feststellen, ob die Nachricht tatsächlich von dem DNS-Server stammt, den er angefragt hat. DNSSEC schließt diese Schwachstelle. DNS-Anfragen und -Antworten sind kryptografisch abgesichert. Die DNS-Antworten sind signiert und können vom empfangenden Client auf Integrität und Authentizität geprüft werden. Die Vertraulichkeit der Daten ist jedoch nicht vorgesehen, da keine Verschlüsselung der übertragenen Informationen stattfindet.

Grundsätzliche Funktionsweise von DNSSEC

Der DNS-Server, der eine abzusichernde Zone verwaltet, unterzeichnet seine gesendeten Resource Records mithilfe seines nur im bekannten privaten Schlüssel. Für jede Zone existieren eigene Zonenschlüssel, jeweils bestehend aus privatem und öffentlichem Schlüssel. DNSSEC spezifiziert mit dem RRSIG einen neuen Resource-Record-Typ. Er enthält die Signatur des jeweiligen DNS-Eintrags. Die verwendeten Schlüssel haben eine bestimmte Gültigkeitsdauer und sind mit einem Start- und Enddatum versehen. Resource Records können mehrfach mit verschiedenen privaten Schlüsseln unterschrieben sein, beispielsweise um rechtzeitig ablaufende Schlüssel zu ersetzen. Die anfragenden Clients prüfen die Signaturen mithilfe des allgemein bekannten öffentlichen Schlüssels der DNS-Zone. Ist eine Überprüfung erfolgreich, sind Manipulationen der Antwort ausgeschlossen und die Informationen stammen tatsächlich von der angefragten Quelle.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Was ist ein TLSA-Record?

Definition TLSA-Record

Was ist ein TLSA-Record?

Ein TLSA-Record ist ein Eintrag im Domain Name System, mit dem sich Zertifikate und die Authentizität eines Servers einer bestimmten Domain prüfen lassen. Die Records kommen für DNS-based Authentication of Named Entities (DANE) zum Einsatz und machen die Prüfung eines Zertifikats über eine Zertifizierungsstelle (Certificate Authority) überflüssig. DANE wird für die Kommunikation mit verschlüsselten Webseiten oder den verschlüsselten Austausch von E-Mails genutzt. lesen

E-Mails vor Lauschangriffen und Manipulation schützen

Neuer Verschlüsselungsstandard MTA-STS

E-Mails vor Lauschangriffen und Manipulation schützen

Ein neuer Standard zur Absicherung von Verbindungen zwischen Mailservern und Zertifikaten soll den E-Mail-Versand sicherer machen. MTA-STS hat zum Ziel, die E-Mail-Kommunikation gegen Lauschangriffe und Manipulation abzusichern. lesen

Mit DANE kommen E-Mails beim richtigen Empfänger an

Mehr E-Mail-Sicherheit mit DANE

Mit DANE kommen E-Mails beim richtigen Empfänger an

Das Netzwerkprotokoll DANE (DNS-based Authentication of Named Entities) erweitert die verbreitete Transportwegverschlüsselung SSL/TLS und sorgt so dafür, dass E-Mails mit Sicherheit beim Richtigen ankommen. DANE verhindert außerdem Man-in-the-Middle-Angriffe, indem es das Zusammenspiel von DNSSEC (Domain Name System Security Extensions) und SSL/TLS sichert. lesen

Was ist DANE?

Definition DNS-based Authentication of Named Entities (DANE)

Was ist DANE?

DNS-based Authentication of Named Entities (DANE) ist ein standardisiertes Verfahren, mit dem sich Zertifikate von Servern zur Verschlüs­selung von Webtraffic oder E-Mails per Domain Name System prüfen lassen. Dadurch sind Probleme mit nicht vertrauenswürdigen Zertifizierungsstellen auszuschließen. DANE nutzt Domain Name System Security Extensions (DNSSEC) und TLSA-Einträge. lesen

DNS in Windows-Netzwerken absichern

Video-Tipp: DNS-Sicherheit

DNS in Windows-Netzwerken absichern

DNS ist in Windows-Server-Umgebungen mit Active Directory zwar schnell eingerichtet, aber es sollten auch Sicherheitsaspekte eine wichtige Rolle spielen. Die Namensauflösung ist ein zentraler Part in Netzwerken, der auch entsprechend gesichert werden muss. Wir zeigen in diesem Video-Tipp worauf man achten muss. lesen

Infrastrukturdienste mit IPAM absichern

DHCP und DNS in Windows Server 2016 steuern

Infrastrukturdienste mit IPAM absichern

DHCP und DNS sind wichtige Dienste, wenn es um die Netzwerk-Infrastruktur geht. Um sichere Netzwerke zu betreiben, reicht es heute jedoch nicht mehr aus, Dienste wie DHCP und DNS einfach nur zu installieren und zu nutzen. Es sind Maßnahmen notwendig, um auch diese Dienste vor Angreifer abzusichern. lesen

„IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

Interview

„IoT-Security ist auf dem Niveau von PCs der 90er-Jahre“

Ein einzelner konzentrierter DDoS-Angriff konnte vergangenen Freitag einen Großteil des Internets lahmlegen. Der IT-Sicherheitsexperte Professor Hans-Joachim Hof spricht im Interview darüber, welche Rolle IoT-Geräte bei dem Hackerangriff spielten, mahnt das Gefahrenpotential unsicherer IoT-Devices an – und legt dar, welche Konsequenzen Unternehmen, Anwender und Hersteller daraus ziehen müssen. lesen

DNSSEC behebt DNS-Schwachstellen

Verschlüsselung

DNSSEC behebt DNS-Schwachstellen

Bereits seit 1983 existiert das Domain Name System (DNS), das im Internet User und Server verbindet. Das System wird seit mehr als 30 Jahren verwendet, bietet Hackern aber aufgrund von Sicherheitslücken einige Angriffsfläche. Die Domain Name System Security Extensions, kurz DNSSEC, schließen diese Lücken. lesen

10 Security Features von Windows Server 2012 R2

Gratis-Werkzeuge

10 Security Features von Windows Server 2012 R2

Windows Server 2012 R2 hat mit Security Configuration Wizard, Applocker, IPSec und anderen Tools diverse integrierte Funktionen, um die Sicherheit zu erhöhen. Wir stellen zehn Gratis-Werkzeuge und -Mechanismen vor, die kostenpflichtige Anwendungen und Hardware sinnvoll ergänzen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46193445 / Definitionen)